Acer Controlcenter’daki kritik bir güvenlik kusuru (CVE-2025-5491), uzak saldırganların boru adlı yanlış yapılandırılmış bir pencereler aracılığıyla NT Authority \ System ayrıcalıkları ile keyfi kod yürütmesine izin verir.
CVSS ölçeğinde 8.8 olarak derecelendirilen güvenlik açığı, ACCSVC.EXE hizmeti tarafından maruz kalan özel bir protokol borusundaki güvensiz izinlerden kaynaklanmaktadır.
Acer, sorunu ele almak için yamalı sürümler (4.00.3058+) yayınladı.
.png
)
Teknik analiz
Sistem ayrıcalıklarıyla çalışan ACCSVC.EXE hizmeti, boru adında bir pencere oluşturur (\\.\pipe\ACCsvcPipe) işlemler arası iletişimi kolaylaştırmak için.
Borular, işlemler arasında veri aktarımını sağlayan çekirdek nesneleridir, ancak güvenlikleri düzgün yapılandırılmış erişim kontrol listelerine (ACL’ler) bağlıdır.
Bu durumda, borunun ACL’sine, Microsoft’un güvenlik yönergelerini ihlal ederek, kimlik doğrulanmamış kullanıcılara okuma/yazma erişimini sağladı.
cpp// Simplified example of vulnerable pipe creation (hypothetical)
HANDLE hPipe = CreateNamedPipe(
L"\\\\.\\pipe\\ACCsvcPipe",
PIPE_ACCESS_DUPLEX,
PIPE_TYPE_MESSAGE | PIPE_WAIT,
PIPE_UNLIMITED_INSTANCES,
4096,
4096,
0,
NULL // Default DACL allows Everyone access
);
Saldırganlar, boruya hazırlanmış istekler göndererek bu yanlış yapılandırmayı kullanır ve önceden tanımlanmış ikili dosyaları yürütmek için tasarlanmış bir hizmet özelliğinden yararlanırlar.
Bununla birlikte, yetersiz giriş validasyonu nedeniyle, keyfi yürütülebilir ürünler sistem ayrıcalıklarıyla tetiklenebilir.
Etki ve saldırı kapsamı
| Metrik | Detaylar |
|---|---|
| Etkilenen sürümler | Acer Controlcenter 4.00.3000 – 4.00.3056 |
| Yamalı versiyonlar | 4.00.3058+ |
| Karmaşıklığı sömürmek | Düşük (kimlik doğrulaması gerekmez) |
| Ayrıcalık artışı | Yerel Kullanıcı → Sistem |
| Uzaktan sömürü | Evet (ağdan erişilebilir borular aracılığıyla) |
Bu güvenlik açığı, ağa bağlı ortamlarda özellikle tehlikelidir, çünkü saldırganlar araçları kullanarak sistemleri uzaktan tehlikeye atabilir PsExec boru ile etkileşim kurmak için.
Başarılı sömürü, kötü amaçlı yazılım dağıtım, veri eksfiltrasyonu ve yanal hareket dahil tam sistem kontrolünü sağlar.
Azaltma ve en iyi uygulamalar
Acer sorunu şu şekilde ele aldı:
- Boru izinlerini yalnızca yerel sistem ve yöneticilerle sınırlamak.
- Yetkisiz yürütülebilir yolları engellemek için komut doğrulamasının uygulanması.
Önerilen Eylemler:
- Acer Drivers Portalı üzerinden ControlCenter 4.00.3058’e güncelleme.
- PowerShell Kullanarak Boru İzinleri Adlı Denetim:
powershellGet-ChildItem \\.\pipe\ | ForEach-Object {
Get-Acl -Path $_.FullName | Where-Object { $_.AccessToString -match "Everyone" }
}
- İşlemler arası iletişim mekanizmalarıyla etkileşime giren hizmetler için en az ayrıcalık ilkesini uygulamak.
Tarihsel bağlam
Bu kusur, Acer yazılımındaki bir ayrıcalık artış güvenlik açıklarını takip eder:
- CVE-2022-24285 (2022): Acer Bakım Merkezi’nde benzer adlandırılmış boru yanlış yapılandırması.
- CVE-2021-45975 (2021): Yerel yükselişe izin veren hizmet izni kusuru.
Bu yinelenen sorunlar, satıcı tarafından sağlanan yardımcı programlardaki IPC mekanizmaları için güvenli varsayılanların önemini vurgulamaktadır.
CVE-2025-5491, ayrıcalıklı hizmetlerde yanlış yapılandırılmış adlandırılmış boruların risklerinin altını çizmektedir.
Acer cihazlarını kullanan kuruluşlar, aşırı izinler için Yama’ya öncelik vermeli ve hizmete maruz kalan tüm arayüzleri gözden geçirmelidir.
Saldırganlar gittikçe daha fazla kötüye kullandıkça, yanal hareket için adlandırılmış borular gibi meşru pencereler özellikleri, sistem bileşenlerinin proaktif sertleşmesi kritik olmaya devam etmektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin